นักวิทยาศาสตร์ของรัฐบาลกลางที่สถาบันมาตรฐานและเทคโนโลยีแห่งชาติได้ขจัดข้อกำหนดที่ล้าสมัยสำหรับแนวทางการตรวจสอบตัวตนดิจิตอลของหน่วยงานเช่นรหัสผ่านที่เปลี่ยนแปลงปกติรวมถึงการเพิ่มมาตรฐานใหม่สำหรับการใช้งานชีวภาพคีย์และโทเค็นการตรวจสอบสองปัจจัยอื่น ๆไซเบอร์คูป-
เอกสารสุดท้ายขนานนามสิ่งพิมพ์พิเศษของ NIST 800-63(PDF) นับเป็นแนวทางที่สามและเป็นผลมาจากการให้คำปรึกษาสาธารณะมากกว่าหนึ่งปีตามมาตรฐานอาวุโสและที่ปรึกษาด้านเทคโนโลยีของ NIST
ร่างของเอกสารที่ได้รับการแก้ไขนั้นมีผู้เข้าชมมากกว่า 74,000 คนในเว็บไซต์ของเอเจนซี่เมื่อปีที่แล้วโดยมีความคิดเห็นมากกว่า 14,000 รายการที่ส่งมา
“ ไม่มีวิธีที่เอกสารที่ครอบคลุมนี้อาจมีการพัฒนาโดยไม่ต้องมีข้อมูลโดยตรงของผู้มีส่วนได้ส่วนเสียซึ่งมีส่วนร่วมอย่างต่อเนื่องตลอดกระบวนการร่าง” Grassi เขียนใน Aโพสต์บล็อกเรียกใช้การใช้รหัสและการพัฒนารหัสโอเพนซอร์ซครั้งแรกของเอเจนซี่ GitHub เป็น“ ความสำเร็จ”
“ อัตลักษณ์ดิจิทัลในทั้งสองหน่วยงานและตลาด [ภาคเอกชน] มีการเปลี่ยนแปลงอย่างมากนับตั้งแต่การแก้ไขครั้งล่าสุดของเอกสารนี้ในปี 2013” Grassi กล่าว
เอกสารที่สรุปได้ช่วยลดแนวคิดของ“ ระดับการประกัน” (LOAS) เป็นตัวชี้วัดว่าควรมีความปลอดภัยในการพิสูจน์ตัวตนและกระบวนการตรวจสอบความถูกต้องของการเข้าสู่ระบบ
แต่หน่วยงานได้แยกกระบวนการ ID ดิจิตอลออกเป็นสามขั้นตอนโดยที่แต่ละคนได้รับการจัดอันดับตามความปลอดภัยของมัน
ระดับการประกันตัวตน (IAL) เป็นกระบวนการของการออกล็อกอินให้กับบุคคลตามตัวตนของพวกเขา Authenticator Assurance Level (AAL) วัดความปลอดภัยของกระบวนการตรวจสอบความถูกต้องนั่นคือวิธีที่ผู้ใช้พิสูจน์ระบบว่าพวกเขาเป็นบุคคลเดียวกันที่พวกเขาอ้างว่าเป็น; และระดับการประกันสหพันธ์ (FAL) เกี่ยวข้องกับระดับความปลอดภัยของการยืนยันที่ใช้ในสภาพแวดล้อมที่เป็นสหพันธรัฐซึ่งหลายระบบพึ่งพากระบวนการตรวจสอบ ID เดียว
Grassi ยังกล่าวอีกว่าตอนนี้ SP 800-63 ประกอบด้วยสี่ส่วน“ และอาจมีมากขึ้นในอนาคตเมื่อตัวตนดิจิตอลวิวัฒนาการ”
ส่วนประกอบมีดังนี้: SP 800-63-3 (แนวทางประจำตัวดิจิตอล) เป็นคู่มือ“ การเป็นแม่” ซึ่งรวมถึงภาษาการจัดการความเสี่ยงที่ออกแบบมาเพื่อจัดแนวคำแนะนำ OMB, SP 800-63A (การพิสูจน์ตัวตนและการพิสูจน์ตัวตน), SP 800-63B
เมื่อต้นปีนี้FIDO Alliance ให้คำแนะนำสำหรับข้อกำหนดการตรวจสอบที่แข็งแกร่งในสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) การปรับปรุงการปรับปรุงกรอบการทำงานเพื่อปรับปรุงแนวทางการรักษาความปลอดภัยทางไซเบอร์โครงสร้างพื้นฐานที่สำคัญ
หัวข้อบทความ
ไบโอเมตริกซ์-เอกลักษณ์ดิจิทัล-คนที่มีความสำคัญ-รหัสผ่าน-มาตรฐาน
